目前客户端使用较多的是轻型目录访问协议(LDAP),来访问目录服务器保存的数据。客户端和应用程序使用LDAP绑定通过Windows Active Directory(AD)进行身份验证。
LDAP绑定操作有多种,包括:
A.简单的LDAP绑定,其中凭据以明文形式通过网络传输,且不安全。
B.未签名的身份验证和安全层(SASL)LDAP绑定,也不安全。
C.已签名的SASL LDAP绑定,这需要签名但很安全。
D.安全接收层/传输层上的LDAP安全,也称为 LDAPS bind,它是加密的也是安全的。
E.域控制器(DC)容易受到攻击,因为它们允许LDAP客户端通过简单的LDAP绑定和不需要签名的SASL LDAP绑定与它们进行通信。
F.简单的LDAP绑定允许如域管理员之类的特权帐户用其凭据来遍历网络,而未签名的SASL LDAP绑定允许任何人在客户端和DC之间捕获数据包,更改数据包,转发数据包。这两种情况都可能带来灾难性的后果,此时,您环境中的DC很有可能有不安全的LDAP绑定。
如何检测不安全的LDAP绑定
缓解此漏洞的第一步是确定您是否受到影响,可以通过查看事件ID 2887来做到这一点。
默认情况下,每24小时在DC中记录一次事件2887,它显示未签名和明文绑定到DC的数量。大于零的任何数字表示您的DC有不安全的LDAP绑定。
然后,您需要通过查看事件ID 2889来检测不安全绑定的所有设备和应用程序。
客户端每次尝试进行未签名的LDAP绑定时,DC中都会记录事件2889,它显示尝试通过未签名的LDAP绑定进行身份验证的计算机的IP地址和帐户名。
注意:默认情况下不会记录此事件,并且需要启用适当的诊断。
ADAudit Plus如何帮助加快检测速度
使用PowerShell脚本从记录的2887和2889事件中解析和提取相关数据需要专业知识和时间,ADAudit Plus会从您域中所有DC收集这些事件,并提供报告,以查明使用不安全LDAP绑定的设备和应用程序。
报告中的详细信息包括IP地址、端口、用户名和绑定类型。此外,您还可以配置ADAudit Plus,以在尝试使用不安全绑定进行身份验证时通过电子邮件和SMS提醒您。
只需单击几下鼠标,即可确定您的DC是否允许不安全的绑定,并检测因此而容易受到攻击的设备和应用程序。
注意:使用ADAudit Plus检测到所有使用不安全LDAP绑定的设备和应用程序后,请确保通过实施LDAP签名和LDAP通道绑定来进行更改(使LDAPS更加安全)。
关于ManageEngine ADAudit Plus
ADAudit Plus是一种实时Active Directory,文件服务器,Windows服务器以及工作站安全性和合规性解决方案。